Apreensão de mais da metade dos cortes de pagamento da empresa contra a reputação da criptografia como um meio financeiro indetectável para hackers.
Relembrando o caso:
A reportagem é do site terra e na manchete eles diziam:
"O governo dos Estados Unidos declarou estado de emergência em 17 estados por causa de um ataque cibernético que afetou a principal empresa de distribuição de combustíveis do país, a Colonial Pipeline. Os oleodutos da empresa, que estão paralisados devido ao ataque ransomware, transportam mais de 2,5 milhões de barris de óleo por dia, o que corresponde a 45% do abastecimento de diesel, gasolina e querosene da costa leste dos Estados Unidos".
Fonte: Site Terra
É provável que a Colonial Pipeline não implementou políticas eficazes de Desastre Recovery e por este motivo ela ficou refém do grupo criminoso tendo que pagar a quantia aproximada de 4,4 milhões em criptomoedas para os hackres que mantinham seus sistemas de computador, contudo, o Federal Bureau of Ivestigation (FBI), seguiu o dinheiro digital.
Com um total de 19 dias de investigações, houve uma transferência em 27 de maio deste ano de quase 64 bitcoins sob uma carteira que estava monitorada pelo FBI, tal oportunidade possibilitou um mandado e as investigações puderam avançar, que por final foi possível recuperar 2,3 milhões do resgate pago inicialmente.
A investigação demonstra a capacidade técnica dos investigadores em interromper a infraestrutura financeira desta grande rede criminosa que possibilita angariar centenas de milhões de dólares das vítimas todos os anos.
"Você não pode se esconder atrás da criptomoeda", disse Elvies Chan, agente especial assistente encarregado da filial cibernética do escritório de Campo do FBI em São Francisco. Neste mesmo assunto, no caso JBS, ao Grupo Ransomware REvil, foi pago a quantia de 11 milhões após fechamento das fábricas que processam cerca de um quinto do fornecimento de carne do país. Este mesmo grupo assumiu a autoria de mais uma nova investida, a vítima agora é Grupo Fleury.
MODUS OPERANDI DO RANSOMWARE REVIL
Entender melhor o Ransomware REvil. Segundo os pesquisadores de uma empresa de inteligência Flashpoint, eles afirmaram: "que os agentes de ameaças por trás do Ransomware DarkSide (Objeto de ataque do Oleoduto da Colonial) são de origem russa e de ex-afiliados do grupo REvil RaaS [ransomware-as-a-service]". Por este motivo veremos neste artigo, o modus operandi do REvil em sua recente investida no Grupo Fleury.
 |
| Figura 1 - Passo a Passo da Intrusão Grupo Fleury |
Nesta imagem (obtida através de redes sociais), é possível analisar que:
1 - Houve uma campanha de spam com um arquivo de vírus enviado a funcionários de seu domínio;
2- Uma vez que o usuário clicou no arquivo, nossa carga de vírus foi instalada no computador;
3 - Usando ferramentas especiais o computador foi escaneado e todos os dados de autorização do usuário;
4 - Esses dados de autorização foram usados para acessar a rede UHMC remotamente;
5 - Em seguida varremos sua rede e encontramos alguma vulnerabilidade no server RCE, possivelmente: CVE-2021-21985, CVE-2021-21972;
6 - Em seguida, usamos ferramentas de segurança especiais para despejar todas as senhas possíveis do servidor;
7 - Usamos essas senhas para obter acesso a outros elementos da rede até acessarmos seu AD;
8 - Keyloggers especialmente projetados foram instalados nas máquinas do time de TI, o que nos ajudou a ter acesso a todo o infraestrutura de TI;
9 Modificamos sua configuração de antivírus para que não detecte a nossa presença na sua infraestrutura de TI;
10- Após obter todos os dados de acesso do TI possíveis, também encontramos a forma de nos conectarmos com as demais filiais da empresa;
11- Com todo o controle da infraestrutura de TI, utilizamos ferramentas especialmente concebidas para recolher todos os dados valiosos;
12- Após a conclusão da busca de dados, lançamos nosso software de bloqueio em alguns dos seus sistemas de TI, não colocamos muita pressão sobre isso, apenas queríamos que você soubesse que seus dados vazaram.
 |
| Figura 2 - Indicadores de Comprometimento (Grupo Fleury). |
Com estes indicadores de comprometimento, é possível entender como foi o modus operandi, é possível também interpretá-las como lições aprendidas e criar contramedidas.
RECUPERAÇÃO DA CRIPTOMOEDA
Muito embora o anúncio de recuperação do resgate tenha sido notável pelo valor recuperado em consonância ao impacto sofrido pela empresa do oleoduto, as forças policias do EUA estão estabelecendo um histórico de rastreamento das criptomoeda e às vezes, a recuperação do valor pago aos criminosos.
Manchete:
"Hackers movem pagamentos de resgate para escapar da aplicação da lei, mas o Departamento de Justiça foi capaz de rastrear e apreender criptomoedas". Observe a figura abaixo e entenda a modo comum de atuação destes de ataques.
 |
| Figura 3 - Seguindo a Criptomoeda |
A reportagem de 2020 do ano passado, divulgada no site Olhar Digital relata que a justiça dos EUA conseguiu recuperar 1 bilhão em criptomoeda, esta recuperação está associada ao mercado negro online Silk Road e em janeiro deste ano, mais um aporte de $454.000 em criptomoeda de um grupo de ransomware conhecido como NetWalker.
Há também uma apreensão datada de agosto de 2020, na ocasião os fundos estavam vinculados à AL Qaeda e às Brigadas Izz ad-Din-Qassam, o braço armado do grupo militante palestino Hamas. Houve uma contribuição de um agente do Internal Revanue Service que rastreou as transações destinadas a financiar estes grupos que atuavam na lavagem do dinheiro, precisamente, turcos, que tinham clientes adicionais baseados nos EUA ou atuavam usando carteiras digitais na bolsa de valores.
As criptomoedas são mantidas em contas digitais chamadas carteiras, que armazenam endereços de localizações virtuais de fundos e as chaves privadas, ou senhas, para acessá-los. Enquanto as moedas fiduciárias são transferidas de forma privada usando números de roteamento de bancos e números de contas individuais, os proprietários movimentam estes fundos entre endereços registrado usando um blockchains.
Estes proprietários possuem uma certa privacidade pessoal e liberdade regulatória e fiscal para movimentação financeira. Ademais, é notório que os blockchains são visíveis ao público, permitindo que os investigadores policiais e especialistas externos vejam os fundos se movendo entre endereços e por meio destas trocas, os usuários podem comprar ou vender ações e até sacar.
Isto posto, as autoridades dos EUA já possuem um mapa contendo milhões de endereços de bicoin associados a atores ilícitos em todo o mundo, segundo David Carlisle, diretor de política e assuntos regulatórios da empresa de análise de blockchains Elliptic.
Observou-se que após o pagamento do resgate, os hackers criminosos costumam distribuir a criptomoeda para centena de outras contas. Estas transferências podem incluir a participação nos lucros que algum dos integrantes da associação criminosa desenvolvedor de alguma ferramenta, disse Carlisle.
No caso da Colonial Pipeline, ela fez o pagamento no dia 8 de maio deste ano, no dia seguinte os hackers movimentaram por pelo menos mais seis endereços e no dia 13 de maio a DarkSide anunciou aos seus afiliados que os seus servidores e outras infraestruturas foram apreendidos e no dia 27 do mesmo mês, uma soma de 63,7 bitcoins foram rastreados pelo FBI que confiscou essa parte dos fundos.
O FBI disse em seu pedido de mandado (sem explicar como), que seus investigadores possuíam a chave privada para aquele endereço. Afirmou o porta-voz. Já os outros fundos restantes da Colonial que não foi recuperado pelo FBI foram consolidados com outra criptografia vinculada a pagamentos de resgate em uma carteira que agora contém cerca de 108 bitcoins, disse Pamela Clegg, diretora de investigações financeiras e educação da empresa de análise de blockchain Cipher Trace.
Destarte, os funcionários do FBI disseram que esta mesma técnica pode ser utilizada para novas investidas contra estes tipos de modus operandi.
"O exterior não é um problema para essa técnica", disse Chan, do escritório de campo do FBI em São Francisco.
Por fim, nota-se que negócio de ransomware evoluiu para uma teia altamente compartimentada, com a mão de obra dividida entre vários atores, veja:
a) Fornecedor do software que bloqueia os dados criptografando-os;b) Negociadores de resgate;c) Hackers que invadem redes direcionadas;d) Hackers habilitados a passar despercebidos por esses sistemas e vazar dados confidenciais; e até mesmo,e) Interlocutores que intermediam centros na Índia empregados para ameaçar pessoas cujos dados foram roubados para fazer pressão por pagamentos de extorsão.
Desta forma podemos contextualizar os seguintes desafios para área de segurança da informação:
Seguindo o mesmo preceito, o de segurança da informação, temos também as melhores práticas:
Fonte:
https://resh.com.br/blog/faq-lateral-movement-ataque-lateral/
https://www.bleepingcomputer.com/news/security/attackers-are-scanning-for-vulnerable-vmware-servers-patch-now/
https://www.maxprotection.com.br/post/boletim-de-seguran%C3%A7a-nova-campanha-de-ataques-de-ransomware
https://www.terra.com.br/noticias/tecnologia/inovacao/videos/eua-declaram-estado-de-emergencia-apos-ataque-hacker,9143513.html
https://www.wsj.com/articles/cyber-daily-how-the-fbi-got-colonial-pipelines-ransom-money-back-11623416822
